文章目录
-
- 打开USG6000V的web页面
- 防火墙的组网
- 安全策略
- 实际操作
- 会话表和状态检测
打开USG6000V的web页面
第一步先登录 初始账号: admin 初始密码:Admin@123
然后进入命令行开启web权限
<USG6000V1>sys
[USG6000V1]display ip interface brief
[USG6000V1]int g 0/0/0
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
修改端口ip : [USG6000V1-GigabitEthernet0/0/0]ip address 192.168.100.1 24
打开浏览器登录https//192.168.100.1:8443
密码是修改后的密码
防火墙的组网
物理接口
二层口--不能配IP(普通的二层口;接口对;旁路检测接口)
三层口--能配IP
交换机切换二层口到三层口 undo portswitch
返回 portswitch
BYPASS--设备坏了,防火墙相当于短路,没有办法检测但是依然连接,提高容错。
虚拟接口
虚拟系统--VRF技术,相当于一台设备被拆分为多台设备,平行运行,互不影响,需要通过接口区分虚拟接口范围
安全策略
首先介绍
传统的包过滤防火墙————其本质为ACL列表,根据数据包中的特征进行过滤,之后对比规则,执行工作。
数据包中的特征:五元组(源IP,目标IP,源端口,目标端口,网络层的协议)
安全策略----相较于ACL,1:可以在更细的颗粒度下匹配流量:。2:可以对内容进行安全的检测。
安全策略---1,访问控制(运行和拒绝)
2,内容检测
实际操作
实际操作
需求:DMZ区域有两台服务器,生产区设备能够访问时间(9:00-18:00),办公区全天都可以访问。
首先第1步:规划网段
先做二层交换机LSW7配置,将生产区划为vlan2 , 办公区划分为vlan3
<Huawei>sys
[Huawei]vlan b 2 3
接口0/0/2
[Huawei]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access
[Huawei-GigabitEthernet0/0/2]port default vlan 2
[Huawei-GigabitEthernet0/0/2]qu
接口0/0/3
[Huawei]int g 0/0/3
[Huawei-GigabitEthernet0/0/3]p l a
[Huawei-GigabitEthernet0/0/3]p d v 3
[Huawei-GigabitEthernet0/0/3]qu
接口0/0/1
[Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type trunk
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3
[Huawei-GigabitEthernet0/0/1]undo port trunk allow-pass vlan 1
其次做防火墙三层口
[USG6000V1]int g 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.100.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit
第2步:配置IP
按照上面的拓扑图填写好对应 IP
第3步:路由
第4步:策略
这里的都是限制流量的条件,单选关系是‘与’,多选为‘或’,如果不进入选择,则默认为any。
这里改一下时间需求即可。
会话表和状态检测
1,会话表;2,状态检测
1,会话表 --- 会话表本身也是基于5元组来区分流量,会话表在比对时,会通过计算HASH来比较五元组。因为HASH定长,所以,可以基于硬件进行处理,提高转发效率。
因为会话表中的记录只有在流量经过触发时才有意义,所以,如果记录长时间不被触发,则应该删除掉。即会话表中的记录应该存在老化时间。如果会话表中的记录被删除掉之后,相同五元组的流量再通过防火墙,!应该由其首包重新匹配安全策略,创建会话表,如果无求创建会话表,则将丢弃该数据流的数据。
如果会话表的老化时间过长;会造感系统资源的浪费,同时,有可能导致新的会话表项无法正常建立
如果会话表的老化时间过短:会导致一些需要长时间首发一次的报文连接被系统强行中断,影响业务的转发。
在控制行命令查看会话表:[USG6000V1]display firewall session table
常见的老化时间表
2,状态检测
状态检测主要检测协议逻辑上的后续报文,以及仅允许逻辑上的第一个报文通过后创建会话表
可以选择开启或者关闭该功能。
在控制行命令查看状态检测:
[USG6000V1]firewall session link-state ?
(?是有多个选项,想要关闭状态检测在前面加一个undo)